掌控下一代安全 华为NGFW面世

ZDNET安全频道 07月31日 北京报道：防火墙做为边界安全防护的核心技术，面对以Web2.0为代表的下一代网络中，正在迎来一系列挑战。过去主要集中在对网络和系统底层的攻击事件，而现在的攻击明显向上迁移，包括入侵应用、窃取敏感数据等，传统防火墙防护有心无力。在经历了多次的技术变革后，业界将视点聚焦在下一代防火墙(NGFW)，欲重塑边界安全。

最近几年，国内外安全厂商纷纷推出下一代防火墙产品，以求在这一市场中分得一杯羹。值得注意的是，到今年年中，国内专业安全厂商的NGFW产品已经全部就位，意味着下一代防火墙迎来新战国时代。

“是非”下一代防火墙

虽然每个厂商宣布推出了下一代防火墙产品，但在华为企业网络产品线兼防火墙及应用网关营销经理朱峰的眼中，很多产品形态并不是真正的下一代防火墙。“有些防火墙加了简单应用识别，有些是从流量管控的形态加上有限的威胁防控能力，还有一些是网络型DLP转身来做下一代防火墙，当然还有UTM/多引擎叠加的改头换面等等这些都是NGFW的混淆产品。”

下一代防火墙要符合几点最基本的要求，朱峰表示，首先就是标准的防火墙功能，如NAT、VPN等;其次，应用感知与识别能力是NGFW最核心的特性;第三是要跟IPS深度的集成，而不是简单的功能叠加;另外还包括诸如智能联动和智能分析的辅助功能。

2009年下一代防火墙上市，距今将近五个年头，五年中网络与IT的变化都非常大，NGFW同样面临着许多新的挑战。朱峰指出，第一是管控是否精细，几年前，BYOD、云计算、社交网络都没有发展到现在的水平，如今管控力度不足。如何解决新IT环境下边界失效的问题，重新建立起网络边界的有效管控，成为首要挑战。其次是管理是否简单，由端口到应用的控制手段，使管理复杂度数量级提高。另外，是否可辨未知威胁，五年来新的威胁和挑战陆续增加，特别是未知的攻击越来越多，NGFW也是网络出口把门人，要能够将新的威胁拒之门外。最后，性能是否足够，很多产品一旦开启多功能防护，性能仍然下降很多。NGFW如果不想重蹈覆辙，在性能方面一定要有自己的定义。不是说有了某一特性就足够，一定要这些特性在真实的网络环境下可用，而不是摆设。

重新掌控网络 华为定义的NGFW

华为对NGFW的定义是，首先具有细粒度管控的能力，除了感知应用、用户和内容外，还应该感知位置、风险、设备等，从而匹配IT的移动化、虚拟化和社交化。第二是智能管理，朱峰认为，随着配置维度的复杂化，管理会变为一个瓶颈。NGFW应提供新管控方式下的策略建议，并提供安全风险的智能分析和处理建议。第三是全面防护，不仅仅识别应用，还要识别应用威胁，具备未知威胁和APT的防御机制。第四是高性能体验，华为认为NGFW的基础性能是防火墙加应用识别，只有开启应用识别后的FW性能才能代表NGFW的基本性能，一旦全威胁防护开启时，基本性能下降不应小于50%。

在近日华为举办的媒体沟通会上，揭开了其NGFW的面纱。据了解，包括USG6300/USG6600系列共计10余款华为下一代防火墙设备即将正式推出市场。朱峰道出了华为NGFW的几大产品特点。

首先基于“ACTUAL”感知，即USG通过应用、内容、时间、威胁和位置的多维度组合，实现应用层安全防护。它提供6000多种应用识别，8500万多URL过滤，除按类别分类外，还专门提供恶意URL库，从而提供全新访问控制视角。并通过解析引擎合并，将安全能力与应用识别深度融合，防范借助应用进行的恶意代码植入、网络入侵等行为。

其次是平台架构的先进性，朱峰指出，很多NGFW在性能改观上并没有质的提升。华为采用了专用软硬件平台架构，IAE单次解析引擎，智能感知，全特性并行处理，内容检测硬件加速，提升应用层防护效率，保障全安全特性开启下的万兆最佳性能。

第三是全面可视化的安全管理，随着企业业务的部署，策略的数量越来越多，不知道那些策略可以删除，这需要策略的冗余分析、一体化安全配置管理，所有安全特性、应用控制，基于可视化视图通过测量配置完成。并通过实时智能分析，呈现用户、应用、威胁等16个维度的视图，将业务状态、网络环境、安全态势、用户行为等可视化展现，让用户全方位感知安全运营。

另外包括通过后台智能学习和流量学习，能够识别应用风险、网络流量风险和用户的行为风险，并生成调优建议和防护动作建议。朱峰表示，华为NGFW对未知威胁进行了有效防护，基于云建立沙箱模拟运行系统。并通过云端特征库提取和云端信誉库计算，快速发现未知威胁。

华为企业业务网络产品线品牌部部长武鹏认为，很多厂商从自己熟悉的领域开始对防火墙增加了某些功能，但这究竟是下一代防火墙还是防火墙的下一个功能，对于用户来说也十分模糊。华为在2009年发布万兆防火墙产品，并在2011年底发布软件版本，融合用户应用和内容管控手段，虽然符合NGFW的标准，但没有冠上下一代防火墙的名号。华为此次发布的NGFW不是为迎合市场仓促推出的所谓下一代，而是能够真正解决文中刚开始提到的用户面临的全新挑战，我们期待即将在首届华为企业网络大会上推出华为下一代防火墙。